Pwn2Own Ireland 2024 Synology TC500摄像头格式化字符串漏洞分析
💡
原文中文,约6600字,阅读约需16分钟。
📝
内容提要
InfoSect在2024年Pwn2Own比赛中研究了Synology TC500智能摄像头的格式化字符串漏洞,虽然未能成功利用,但揭示了攻击面和漏洞利用方法,包括信息泄露和任意写入。最终,Synology发布了固件更新修复了该漏洞。
🎯
关键要点
- InfoSect在2024年Pwn2Own比赛中研究了Synology TC500智能摄像头的格式化字符串漏洞。
- 虽然未能成功利用该漏洞,但揭示了攻击面和漏洞利用方法,包括信息泄露和任意写入。
- 摄像头的固件可公开下载,攻击面包括webd和streamd两个开放端口。
- 发现漏洞的关键在于对process_new_connection函数的修改,导致格式化字符串漏洞的产生。
- 漏洞利用的第一步是信息泄露,通过覆盖栈中的指针来获取HTTP版本字符串。
- 使用栈写原语可以覆盖任意指针,实现任意写入。
- 结合信息泄露和任意写入,可以实现任意读原语。
- 最终目标是通过覆盖__free_hook为system()的地址来获取远程Shell。
- 在提交利用代码前,Synology发布了固件更新修复了该漏洞。
➡️
